aA
Bet kuri įmonė, įsteigta Europos Sąjungos teritorijoje ar įsteigta už jos už jos ribų, bet tvarkanti Europos Sąjungos piliečių duomenis, yra Bendrojo duomenų apsaugos reglamento (BDAR) numatytų baudų taikinyje, todėl nieko keisto, jog tokių įmonių vertė rinkoje gali ženkliai sumažėti būtent dėl netinkamo BDAR nuostatų įgyvendinimo.
Indrė Tamošiūnaitė
© Asmeninio albumo nuotr.

Tai reiškia, kad tiek įmonės pirkėjas, tiek pardavėjas prieš įmonės pirkimo-pardavimo sandorį privalo detaliai apsvarstyti visas su asmens duomenų tvarkymu susijusias rizikas, galinčias iš esmės nulemti planuojamo sandorio sėkmę ar išvengti nuostolių ateityje.

Nukenčia net didžiosios kompanijos

Vienas plačiausiai nuskambėjusių atvejų, kuomet netinkamas asmens duomenų tvarkymas nemenkai pakišo koją sandorio baigčiai, įvyko 2017 m. JAV telekomunikacijų milžinei „Verizon“ įsigyjant interneto bendrovę „Yahoo“ ir ją sujungiant su AOL padaliniu. Dar iki sandorio pradžios „Yahoo“ patyrė tris duomenų apsaugos pažeidimų bangas: vieną 2016 metų rugsėjį bei dar dvi tų pačių metų gruodį.

Būtent pastarųjų asmens duomenų pažeidimų banga išaiškėjo pačiame derybų dėl „Yahoo“ įsigijimo įkarštyje, tad kompanijoms vėl teko leistis į diskusijas, tirti įvykusių incidentų aplinkybes, vertinti padarytą žalą bei atitinkamai sumažinti sandorio kainą. Po derybų buvo nuspręsta, kad atsakomybę už galimai nutekėjusią vartotojų privačią informaciją lygiomis dalimis prisiims abi kompanijos, o pati sandorio vertė sumažinta net 350 mln. USD. Taigi, tokia netikėta sandorio baigtis pakenkė ne tik interneto sprendimų veteranei „Yahoo“, kuriai teko nusileisti ir padaryti „Verizon“ įspūdingo dydžio nuolaidą, bet ir pačiai „Verizon“, sutikusiai prisiimti gana didelę finansinę riziką tiek dėl jau paaiškėjusių, tiek dėl ateityje galinčių paaiškėti asmens duomenų pažeidimų atvejų.

Šis pavyzdys tik patvirtina, jog verslo subjektams, planuojantiems sudaryti bendrovės pirkimo-pardavimo sandorį, visų pirma, reikia detaliai įsigilinti į visus su asmens duomenų tvarkymų bendrovėje susijusius procesus bei įvertinti jų atitiktį BDAR. Tik tai gali užtikrinti sandorio sėkmę bei apsaugoti nuo milžiniškų BDAR numatytų baudų.

Teisinis įmonės patikrinimas – į ką būtina atkreipti dėmesį?

Praktikoje jau įprasta, jog šalims rodant rimtą abipusį susidomėjimą ir interesą sudaryti bendrovės pirkimo-pardavimo sandorį, pardavėjas atskleidžia visą su tokiu sandoriu susijusią informaciją pirkėjui tam, kad abi šalys tinkamai įvertintų sandorio priimtinumą viena kitai, susipažintų su faktine įmonės situacija ir galutinai apsispręstų dėl sandorio sudarymo bei jo vertės. Būtent toks bendrovės dokumentų ir su ja susijusios informacijos patikrinimas po BDAR įsigaliojimo neabejotinai tapo vienu svarbiausių faktorių, padedančiu nustatyti ar joje laikomasi asmens duomenų apsaugą reglamentuojančių teisės aktų nuostatų.

Žinoma, visų pirma, dar prieš asmens duomenų perdavimą pirkėjui pardavėjas privalo įvertinti, ar tikrai gali perduoti tokius duomenis, t. y. ar tokiam perdavimui egzistuoja teisinis pagrindas. Dažniausiai toks pagrindas galėtų būti teisėtas pardavėjo interesas, tačiau svarbu nepamiršti įvertinti, ar tikrai visų asmens duomenų perdavimas yra būtinas ir ar toks perdavimas nepažeidžia asmenų, kurių duomenys bus perduodami (pavyzdžiui, darbuotojų), laisvių ir teisių. Jei tik įmanoma, asmens duomenys turėtų būti anonimizuojami ar šifruojami, pavyzdžiui, perduodant darbo sutarties formos pavyzdį jame neturėtų matytis jokių konkretaus darbuotojo asmens duomenų.

Prieš asmens duomenų perdavimą pirkėjui pardavėjas privalo įvertinti, ar tikrai gali perduoti tokius duomenis, t. y. ar tokiam perdavimui egzistuoja teisinis pagrindas.
Indrė Tamošiūnaitė

Antra, tiek pardavėjas, atskleisdamas asmens duomenis, tiek pirkėjas juos gaudamas turi pasirūpinti, jog toks duomenų judėjimas atitiktų visus BDAR keliamus reikalavimus. Atsižvelgiant į tai, siekiant atlikti įmonės patikrinimą, tarp pirkėjo ir pardavėjo turėtų būti sudaromas konfidencialumo susitarimas. Susitarime turėtų būti griežtai nustatyti ne tik šalių konfidencialumo įsipareigojimai, bet ir tokie aspektai kaip perduodamų asmens duomenų apimtis, taikomos saugumo priemonės, gautų duomenų naikinimo tvarka bei atsakomybės ribos.

Trečia, teisinio patikrinimo rezultatai turėtų atsakyti bent į šiuos klausimus: a) kaip, kokiu pagrindu bei kokia apimtimi tvarkomi asmens duomenys bendrovėje; b) ar yra įdiegtos tinkamos duomenų apsaugos priemonės, priimtos duomenų tvarkymo politikos (įskaitant duomenų apsaugos pažeidimų nustatymo) bei fiksuojami duomenų tvarkymo veiklos įrašai; c) ar bendrovėje paskirtas duomenų apsaugos pareigūnas ar kitas už duomenų apsaugą atsakingas asmuo; d) kam perduodami asmens duomenys bei ar sudaryti susitarimai su visais duomenų gavėjais (duomenų tvarkytojais, duomenų valdytojais); e) ar bendrovėje yra buvę asmens duomenų apsaugos pažeidimų.

Visi šie aspektai gali turėti milžinišką įtaką ne tik vertinant galimų asmens duomenų apsaugos pažeidimų riziką, bet ir nustatant papildomų pirkėjo išlaidų ar kitokių nuostolių sumas, galinčias nulemti sandorio vertės sumažėjimą. Pavyzdžiui, galbūt pirkėjui bus aktualus naujienlaiškių siuntimas savo klientams, tačiau to jis daryti negalės, nes pardavėjui tai nebuvo aktualu ir bendrovė apie tai nėra informavusi savo klientų ar, atitinkamai, gavusi jų sutikimų.

Galiausiai, svarbu suvokti, jog net ir atlikus išsamų perkamos bendrovės teisinį patikrinimą, nėra garantijų, jog pirkėjui taps žinoma visa reali įmonės situacija. Tokie patikrinimai dažniausiai atliekami vadovaujantis pardavėjo pateikta informacija, todėl tikėtina, jog svarbi ir įtaką galinti padaryti informacija patikrinimo metu nebus pateikta ir galimai išaiškės tik vėliau. Atsižvelgiant į tai, nereiktų pamiršti ir kitų šaltinių, leidžiančių spręsti dėl įmonės atitikties BDAR.

Šiais laikais sunku įsivaizduoti net mažiausią įmonę, kuri nebūtų perkėlusi savo veiklos į interneto svetainę, suteikiančią galimybę pasiekti daugiau klientų, vykdyti užsakymus, o kartu ir rinkti pačius įvairiausius asmens duomenis. Taigi, vienas lengviausių ir mažiausiai finansinių išteklių kainuojantis būdas patikrinti, ar bendrovė laikosi BDAR numatytų reikalavimų – peržiūrėti jos interneto svetainę: ar joje patalpinta privatumo politika, taisyklės ar kitas tokio informacinio pobūdžio dokumentas, koks yra jo turinys; ar naudojamos užklausos, naujienlaiškų prenumeratos formos; ar naudojami slapukai ir panašiai.

Po BDAR įsigaliojimo nei bendrovių pirkėjai, nei pardavėjai neskuba prisiimti visiškos atsakomybės už asmens duomenų apsaugos pažeidimus.
Indrė Tamošiūnaitė

Ką svarbu aptarti pirkimo-pardavimo sutartyje?

Bene dažniausiai praktikoje pasitaikantis klausimas – kas turi atsakyti už duomenų apsaugos pažeidimą, išaiškėjusį, pavyzdžiui, jau po bendrovės įsigijimo, tačiau įvykusį dar bendrovę valdant pardavėjui? Jau minėtu bendrovės „Yahoo“ įsigijimo atveju, „Verizon“ pasisekė, jog duomenų apsaugos pažeidimai paaiškėjo dar prieš pirkimo–pardavimo sutarties sudarymą, todėl ji turėjo galimybę derėtis dėl esminių sandorio sąlygų. Būtent tinkamų nuostatų įtraukimas į pirkimo–pardavimo sutartį jai leido minimalizuoti savo finansinę atsakomybę dėl visų galimų klientų teisių pažeidimų (už bet kokį ateityje paaiškėjusį asmens duomenų saugumo incidentą, įvykusį dar iki „Yahoo“ pirkimo-pardavimo sutarties pasirašymo dienos, atsakomybę dalinsis abi įmonės).

Po BDAR įsigaliojimo nei bendrovių pirkėjai, nei pardavėjai neskuba prisiimti visiškos atsakomybės už asmens duomenų apsaugos pažeidimus, įvykusius ar paaiškėjusius ne jiems valdant įmonę, o tikslus atsakomybės paskirstymo ir nuostolių atlyginimo klausimas dažnai reikalauja ne tik laiko, bet ir papildomų finansinių išteklių, todėl šalys linkusios sutartyse to neaptarti. Dažniausiai dėl tokio neapdairumo nukenčia pirkėjas, nes jau kitą dieną po bendrovės įsigijimo būtent jis kaip naujasis duomenų valdytojas gali sulaukti skundų dėl netinkamo asmens duomenų tvarkymo ar net baudos.

Taigi, siekiant maksimaliai apsaugoti savo verslą, bendrovės pirkimo-pardavimo sutartyje turėtų būti aptarta bent: iki sutarties pasirašymo momento bendrovėje įvykę duomenų apsaugos pažeidimai, jų tyrimų tvarka, nukentėję asmenys, nuostolių kompensavimo procesai, konkretūs atsakomybės taikymo terminai ir baudos šalims bei tolesnė BDAR nustatyti reikalavimų įgyvendinimo tvarka. Atsakomybės ribos turėtų būti apibrėžiamos atsižvelgiant į gautus bendrovės patikrinimo rezultatus. Taigi kuo detaliau buvo įvertinta bendrovės atitiktis duomenų apsaugą reglamentuojančių teisės aktų reikalavimams, tuo lengviau įvertinti visas galimas duomenų pažeidimų rizikas ir atitinkamai paskirstyti šalių atsakomybę.

Galiausiai, atkreiptinas dėmesys ir į tai, jog tinkamas ir baudų bei nuostolių rizikas sumažinantis bendrovės įsigijimas nesibaigia sutarties pasirašymu. Nuo pat įmonės įsigijimo momento būtent pirkėjas tampa atsakingas dėl bendrovės atitikties BDAR, todėl ypatingai svarbu detaliai apsvarstyti ir pasirengti bendrovės integracijos procesui duomenų apsaugos kontekste. Pažymėtina, kad pirkėjas privalės laikytis visų, iki pardavimo momento bendrovėje pardavėjo nustatytų, asmens duomenų tvarkymo procedūrų ir tvarkų, o jei tokių nėra – privalės jas nustatyti.

Griežtai draudžiama DELFI paskelbtą informaciją panaudoti kitose interneto svetainėse, žiniasklaidos priemonėse ar kitur arba platinti mūsų medžiagą kuriuo nors pavidalu be sutikimo, o jei sutikimas gautas, būtina nurodyti DELFI kaip šaltinį.
Įvertink šį straipnį
Norėdami tobulėti, suteikiame jums galimybę įvertinti skaitomą DELFI turinį.
(3 žmonės įvertino)
5.0000
Parašykite savo nuomonę
arba diskutuokite anonimiškai čia
Skelbdami savo nuomonę, Jūs sutinkate su taisyklėmis
Rodyti diskusiją Rodyti diskusiją

Linas Ivanauskas. Kur Lietuva pakasė savo elektronikos atliekas? (1)

Ne iš gero gyvenimo aplinkosaugos idėjos išgyvena naują pakilimą. Prieš klimato kaitą kovoja...

Vilius Tamkvaitis. „Apple“ fiasko ar naujos eros pradžia? (1)

JAV technologijų milžinė „Apple“ neseniai paskelbė plečianti savo atsiskaitymų paslaugų...

Linas Mickus. Ukraina ant rinkimų slenksčio – kas pasikeitė per 5 metus? (3)

Balandžio 21 d. vyks Ukrainos prezidento rinkimai , kuriuose bus renkamasi iš dviejų likusių...

Povilas Stankevičius. 5 dalykai, kuriuos nuolat seka finansų rinkos

Pastaruoju metu investuotojams tenka taikytis su dideliu neužtikrintumu pasaulinėje politikoje ir...

Kęstutis Kvainauskas. Kokios yra realios galimybės prisiteisti bankams permokėtas palūkanas už paimtas paskolas? (11)

Paskutiniu metu pasigirsta vis daugiau pasisakymų esą egzistuojančią realią galimybę asmenims,...

Top naujienos

Sezamai, atsiverk: Sutkus aukštų krašto apsaugos sistemos pareigūnų kabinetuose – kaip namie (157)

Aukštų Lietuvos krašto apsaugos sistemos (KAS) pareigūnų kabinetuose Lietuvos verslo...

Atsakomybę prisiėmęs Obradovičius: aš juk sakiau, kad „Žalgiris“ sureaguos (6)

Kauno „Žalgiris“ ketvirtadienio vakarą Stambule vėjais paleido turėtą dviženklę persvarą,...

Dabartinė situacija NT rinkoje – nerami: būstų centre mažės, o kainos gali drastiškai pakilti (65)

Nekilnojamojo turto (NT) rinkos aktyvumas pirmąjį šių metų ketvirtį nustebino tiek pardavėjus,...

Ulanovui asmeniškai dėkojęs Jasikevičius: čia vyksta aukščiausio lygio atkrintamųjų krepšinis specialiai Krepšinis.lt iš Stambulo (112)

Iš skurdžių – į turtuolius. Prieš dvi dienas rezultatyvumo antirekordus fiksavęs Kauno...

Rungtynių didvyris apie pergalingą savo metimą: visiška nesąmonė specialiai Krepšinis.lt iš Stambulo (17)

Daug vandens nutekėjo nuo to laiko, kai Edgaras Ulanovas vedė į pergalę Kauno „Žalgirį“....

„Spinter" apklausa parodė: lietuviai netiki, kad Jurijus Veklenko gali laimėti „Euroviziją“, tačiau paskutinis tikrai neliks (61)

Kol visa šalis laukia didžiosios „Eurovizijos“, o mūsų šalies atstovas šiame konkurse...

Sunku atsikelti, dieną migdo ir nėra jėgų: gydytoja nurodė žingsnius, kaip tai spręsti (5)

Saulė užsibūna vis ilgiau, šildo vis daugiau, tačiau daug kam iš lovos pakilti ryte darosi kai...

„Žalgiris“ įspūdingai smogė atgal – šį sezoną pirmasis triumfavo „Fenerbahče“ tvirtovėje (842)

Eurolygos atkrintamosiose varžybose Kauno „Žalgiris“ iškovojo pirmą pergalę ir pirmą kartą...

Devyni daug jodo turintys maisto produktai

Jodas – žmogaus organizmui būtinas mineralas. Jodo reikia skydliaukei, kad ji tinkamai...

Orai: po apsiblaususių Velykų – tikra vasara (12)

Šiandien, penktadienį, Lietuvos orus dar lems giedro ir labai sauso anticiklono rytinė dalis.